Εάν γίνουν αντικείμενο εκμετάλλευσης, αυτά τα ελαττώματα μπορούν να επιτρέψουν στους εισβολείς να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητες πληροφορίες ή γενικά να προκαλέσουν προβλήματα
Πρόσφατα αποκαλύφθηκαν πληροφορίες σχετικά με μια ευπάθεια (ήδη έχει καταγραφεί σύμφωνα με το CVE-2021-33164) που εντοπίστηκε στο υλικολογισμικό UEFI, το ανιχνευμένο ελάττωμα επιτρέπει την εκτέλεση κώδικα σε επίπεδο SMM (System Management Mode), ο οποίος έχει υψηλότερη προτεραιότητα από τη λειτουργία hypervisor και τον δακτύλιο προστασίας μηδέν και παρέχει απεριόριστη πρόσβαση σε όλη η μνήμη του συστήματος.
Η ευπάθεια, της οποίας το κωδικό όνομα είναι RingHopper, είναι σχετίζεται με την πιθανότητα επίθεσης χρονισμού με χρήση DMA (Direct Memory Access) για καταστροφή της μνήμης στον κώδικα που εκτελείται στο επίπεδο SMM.
Μια συνθήκη αγώνα που περιλαμβάνει πρόσβαση και επικύρωση SMRAM μπορεί να επιτευχθεί με επιθέσεις χρονισμού DMA που εξαρτώνται από τις συνθήκες χρόνου χρήσης (TOCTOU). Ένας εισβολέας μπορεί να χρησιμοποιήσει την έγκαιρη δημοσκόπηση για να προσπαθήσει να αντικαταστήσει τα περιεχόμενα του SMRAM με αυθαίρετα δεδομένα, με αποτέλεσμα ο κώδικας του εισβολέα να εκτελείται με τα ίδια αυξημένα δικαιώματα που είναι διαθέσιμα στην CPU (δηλαδή, λειτουργία Ring -2). Η ασύγχρονη φύση της πρόσβασης SMRAM μέσω ελεγκτών DMA επιτρέπει σε έναν εισβολέα να πραγματοποιήσει τέτοια μη εξουσιοδοτημένη πρόσβαση και να παρακάμψει τους ελέγχους που συνήθως παρέχονται από το API ελεγκτή SMI.
Οι τεχνολογίες Intel-VT και Intel VT-d παρέχουν κάποια προστασία από επιθέσεις DMA χρησιμοποιώντας τη μονάδα διαχείρισης μνήμης εξόδου εισόδου (IOMMU) για την αντιμετώπιση απειλών DMA. Παρόλο που το IOMMU μπορεί να προστατεύσει από επιθέσεις DMA υλικού, οι ελεγκτές SMI που είναι ευάλωτοι στο RingHopper μπορούν ακόμα να γίνουν αντικείμενο κατάχρησης.
Ευπάθειες μπορεί να γίνει εκμετάλλευση από το λειτουργικό σύστημα χρησιμοποιώντας προγράμματα οδήγησης SMI ευάλωτα (System Administration Interrupt), τα οποία απαιτούν δικαιώματα διαχειριστή για πρόσβαση. Η επίθεση μπορεί επίσης να γίνει εάν υπάρχει φυσική πρόσβαση σε αρχικό στάδιο εκκίνησης, σε ένα στάδιο πριν από την προετοιμασία του λειτουργικού συστήματος. Για να αποκλείσουν το πρόβλημα, συνιστάται στους χρήστες Linux να ενημερώσουν το υλικολογισμικό μέσω της υπηρεσίας LVFS (Linux Vendor Firmware Service) χρησιμοποιώντας το βοηθητικό πρόγραμμα fwupdmgr (fwupdmgr get-updates) από το πακέτο fwupd.
Η ανάγκη να έχουμε δικαιώματα διαχειριστή για να εκτελέσετε μια επίθεση περιορίζει τον κίνδυνο του προβλήματος, αλλά δεν εμποδίζει τη χρήση του ως ευπάθεια του δεύτερου συνδέσμου, να διατηρήσουν την παρουσία τους μετά την εκμετάλλευση άλλων τρωτών σημείων του συστήματος ή τη χρήση μεθόδων μηχανικής μέσων κοινωνικής δικτύωσης.
Η πρόσβαση στο SMM (Ring -2) επιτρέπει την εκτέλεση κώδικα σε επίπεδο που δεν ελέγχεται από το λειτουργικό σύστημα, το οποίο μπορεί να χρησιμοποιηθεί για την τροποποίηση υλικολογισμικού και την τοποθέτηση κακόβουλου κώδικα ή rootkits κρυμμένα στο SPI Flash που δεν εντοπίζονται από το λειτουργικό σύστημα . , καθώς και για την απενεργοποίηση της επαλήθευσης στο στάδιο της εκκίνησης (UEFI Secure Boot, Intel BootGuard) και των επιθέσεων σε hypervisors για παράκαμψη των μηχανισμών επαλήθευσης ακεραιότητας των εικονικών περιβαλλόντων.
Το πρόβλημα οφείλεται σε κατάσταση αγώνα στο χειριστήριο SMI (διακοπή διαχείρισης συστήματος) που συμβαίνει μεταξύ του ελέγχου πρόσβασης και της πρόσβασης SMRAM. Η ανάλυση πλευρικών καναλιών με DMA μπορεί να χρησιμοποιηθεί για τον προσδιορισμό της σωστής ώρας μεταξύ του ελέγχου κατάστασης και της χρήσης του αποτελέσματος του ελέγχου.
Ως αποτέλεσμα, λόγω της ασύγχρονης φύσης της πρόσβασης SMRAM μέσω DMA, ένας εισβολέας μπορεί να χρονομετρήσει και να αντικαταστήσει τα περιεχόμενα του SMRAM μέσω DMA, παρακάμπτοντας το API προγράμματος οδήγησης SMI.
Οι επεξεργαστές με δυνατότητα Intel-VT και Intel VT-d περιλαμβάνουν προστασία από επιθέσεις DMA με βάση τη χρήση του IOMMU (Input Output Memory Management Unit), αλλά αυτή η προστασία είναι αποτελεσματική στον αποκλεισμό επιθέσεων DMA υλικού που εκτελούνται με προετοιμασμένες συσκευές επίθεσης και δεν προστατεύει από επιθέσεις μέσω ελεγκτών SMI.
Η ευπάθεια έχει επιβεβαιωθεί σε υλικολογισμικό Λογισμικό Intel, Dell και Insyde (Το ζήτημα φέρεται να επηρεάζει 8 κατασκευαστές, αλλά οι υπόλοιποι 5 δεν έχουν ακόμη αποκαλυφθεί.) το υλικολογισμικό του Η AMD, η Phoenix και η Toshiba δεν επηρεάζονται από το πρόβλημα.
πηγή: https://kb.cert.org/